PCA 入侵檢測方法研究 階段總結(jié)

1.PCA（主成分分析）算法原理：PCA主要用于數(shù)據(jù)降維，所以找尋變化大的元素，即方差大的維，去掉變化小的維，就是PCA算法的基本原理。

算法是根據(jù)樣本矩陣求出協(xié)方差矩陣，由協(xié)方差矩陣得到特征矩陣，再由樣本矩陣乘以這個特征矩陣就得到新的樣本矩陣。基于人臉識別的算法原理和具體流程：

（1）算法原理：利用K-L變換抽取人臉的主要成分，構(gòu)成特征臉空間，識別時將測試

圖像投影到次空間，得到投影系數(shù)，與原人臉圖像比較識別。（2）具體流程：

1)訓(xùn)練階段：

第一步：假設(shè)訓(xùn)練樣本集，得出訓(xùn)練樣本矩陣。第二步：計算平均臉。第三步：計算臉差值。第四步：構(gòu)建協(xié)方差矩陣。第五步：求得特征臉空間。

第六步：將人臉與平均臉差值投影到特征臉空間。

2)識別階段：

第一步：將待識別的人臉與平均臉的差值投影到特征臉空間。第二部：定義閾值。

第三步：采用歐式定理計算待側(cè)臉與樣本臉之間的距離。第四步：比較閾值和距離對人臉進(jìn)行區(qū)分。

2.隨著Intenet的快速發(fā)展，我們要處理的信息數(shù)據(jù)越來越多，為了提高效率，我們采取特征提取的方法來提高效率。PCA在特征提取中的應(yīng)用

擴(kuò)展閱讀：入侵方法總結(jié)

相關(guān)搜索方法：

1，搜索網(wǎng)頁。

確定目標(biāo)信息1，為以后發(fā)動字典和木馬**做準(zhǔn)備；尋找網(wǎng)頁源代碼找注釋和隱藏域，尋找隱藏域中的”FORM”標(biāo)記。例如：

可以發(fā)起SQL注入攻擊，為以后**數(shù)據(jù)庫做準(zhǔn)備。相關(guān)工具：UNIX下的Wget,Windows下的Teleport。2，鏈接搜索

目標(biāo)網(wǎng)站所在的服務(wù)器可能有其他具有弱點的網(wǎng)站，可以進(jìn)行迂回**，而且可以發(fā)現(xiàn)某些隱含的信息。搜索方法介紹：通

過各種搜索引擎：

GOOGLE

，

[url=,],[/url]二，查點

A，確定目標(biāo)的域名和相關(guān)的網(wǎng)絡(luò)信息。搜索方法；

Whois查詢，通過Whois數(shù)據(jù)庫查詢可以得到以下的信息：1，注冊機(jī)構(gòu)：顯示相關(guān)的注冊信息和相關(guān)的Whois服務(wù)器；2，機(jī)構(gòu)本身：顯示與某個特定機(jī)構(gòu)相關(guān)的所有信息；

3，域名：顯示與某個特定域名相關(guān)的所有信息

4，網(wǎng)絡(luò)：顯示與某個特定網(wǎng)絡(luò)或單個IP地址相關(guān)的所有信息；5，聯(lián)系點:顯示與某位特定人員相關(guān)的所有信息

搜索引擎站：,舉例：Outputof:whois163.com@whois.internic.netRegistrant:

Netease.com,Inc.

36/FPeaceWorldPlaza,No.362-366HuanShiDongRoad

Guangzhou,Guangdong510060CN

DomainName:163.COM

AdministrativeContact,TechnicalContact:Netease.com,Inc.nsadmin@corp.netease.com36/FPeaceWorldPlaza,No.362-366HuanShiDongRoad

Guangzhou,Guangdong510060CN

+86-20-85525516fax:+86-20-85525535Recordexpireson24-Jan-201*.

Recordcreatedon15-Sep-1997.

Databaselastupdatedon10-Feb-201*03:24:01EST.Domainserversinlistedorder:NS.NEASE.NET202.106.185.75NS3.NEASE.NET220.181.28.B，利用ARIN數(shù)據(jù)庫可以查詢某個域名所對應(yīng)的網(wǎng)絡(luò)地址分配信息。

相關(guān)搜索地址：-bin/whois.pl

利用-bin/whois2.pl進(jìn)行對IP地址的查詢，以搜集有關(guān)的網(wǎng)絡(luò)信息：

舉例：163.com->202.108.9.16

inetnum:202.108.0.0202.108.255.255netname:CNCGROUP-BJ

descr:CNCGROUPBeijingprovincenetwork

descr:ChinaNetworkCommunicationsGroupCorporationdescr:No.156,Fu-Xing-Men-NeiStreet,descr:Beijing100031country:CNadmin-c:CH455-APtech-c:SY21-AP

mnt-by:APNIC-HM

mnt-lower:MAINT-CNCGROUP-BJ

mnt-routes:MAINT-CNCGROUP-RR

changed:hm-changed@apnic.net201*1017status:ALLOCATEDPORTABLE

changed:hm-changed@apnic.net201*0124source:APNIC

role:CNCGroupHostmastere-mail:abuse@cnc-noc.net

address:No.156,Fu-Xing-Men-NeiStreet,address:Beijing,100031,P.R.Chinanic-hdl:CH455-AP

phone:+86-10-82993155fax-no:+86-10-82993102country:CN

admin-c:CH444-AP

tech-c:CH444-AP

changed:abuse@cnc-noc.net201*1119mnt-by:MAINT-CNCGROUPsource:APNIC

person:sunying

address:BeijingTelecommunicationAdministrationaddress:TaiPingHuDongLi18,XichengDistrictaddress:Beijing100031country:CN

phone:+86-10-66198941fax-no:+86-10-68511003

e-mail:suny@publicf.bta.net.cnnic-hdl:SY21-AP

mnt-by:MAINT-CHINANET-BJchanged:suny@publicf.bta.net.cn19980824

source:APNIC

知道了目標(biāo)所在的網(wǎng)絡(luò)，可以進(jìn)行迂回滲透，尋找薄弱點，進(jìn)入目標(biāo)網(wǎng)絡(luò)，然后在攻擊目標(biāo)。C，DNS信息查詢

域名系統(tǒng)允許把一個DNS命名空間分割成多個區(qū)，各個去分別保存一個或多個DNS域的名字信息。

區(qū)復(fù)制和區(qū)傳送：DNS服務(wù)器之間是采用區(qū)傳送的機(jī)制來同步和復(fù)制區(qū)內(nèi)數(shù)據(jù)的。區(qū)傳送的安全問題不在于所傳輸?shù)挠蛎�信息，而在于其配置是否正確。因為有些域名信息當(dāng)中包含了不應(yīng)該公開的內(nèi)部主機(jī)和服務(wù)器的域名信息。相關(guān)工具：

1，Windows下，nslookup,SamSpade;2,UNIX下：nslookup,dig,host,axfr在Windows下的使用方法：c:\\>nslookup

Defaultserver:目標(biāo)的DNS服務(wù)器Address:目標(biāo)的IP地址

>settype=ANY//表示接受任何可能的DNS記錄

>ls-d163.com>zone.163.com.txt//獲得目標(biāo)域的相關(guān)記錄，結(jié)果保存在zone.163.com.txt

D，通過Traceroute獲得網(wǎng)絡(luò)的拓?fù)浣Y(jié)構(gòu)以及網(wǎng)絡(luò)網(wǎng)絡(luò)設(shè)備的地址。相關(guān)工具；

Windows下：Tracert支持ICMP協(xié)議

UNIX下：Traceroute支持ICMP和DNS協(xié)議，由于多數(shù)防火墻已經(jīng)過濾了ICMP，所以UNIX下的Traceroute是不錯的選擇，而且使用-pn選項可以自己指定使用的端口。三，網(wǎng)絡(luò)掃描

面對不同的網(wǎng)絡(luò)，應(yīng)該采用不用的掃描方法：

1，對于內(nèi)部網(wǎng)絡(luò)，可用類型很多，ICMP協(xié)議是普遍要裝上的，在內(nèi)部網(wǎng)廣播ICMP數(shù)據(jù)包可以區(qū)分WINDOWS和UNIX系統(tǒng)，發(fā)送類型為8的ICMP的ECHO請求，如果可以受到類型為0的ECHO回應(yīng)，表明對方主機(jī)是存活的。相關(guān)工具介紹：

UNIX下的：fping&gping

WINDOWS下：Pinger特點：速度快，多線程。

2，對于外部網(wǎng)絡(luò)，可用類型也很多，涉及到的原理也有很多，例如：TCP掃描，UDP掃描，其實我是很不愿意用掃描工具的，很容易使對方感覺到**事件的發(fā)生，不論是防火墻還是**檢測系統(tǒng)都會或多或少的留下我們的腳印，如果遇到一個勤快的管理員的話，那么這次**很可能以失敗告終。但使用與否依各個喜好而定了：），有時候我們在測試網(wǎng)絡(luò)或者主機(jī)的安全性時，就不能忽視他的存在了，首先，安全測試不是**，全面的測試對抵御隱士和蠕蟲的攻擊是必要的，在這里推薦的端口掃描工具是NMAP，因為他帶有躲避IDS檢測的機(jī)制，重組了TCP的三次握手機(jī)制，慢掃描機(jī)制等等都是其他掃描工具無法比擬的，UDP掃描是很不可靠的，原因有下幾點：

這種掃描依靠ICMP端口不可達(dá)消息,如果發(fā)送端給目標(biāo)一個感興趣的端口發(fā)送了一個UDP數(shù)據(jù)包后，沒有收到ICMP端口不可打消息，那么我們認(rèn)為該端口處于打開狀態(tài)。不可靠的原因：

1，路由器可能丟棄UDP分組；2，很多的UDP服務(wù)不也不產(chǎn)生響應(yīng)；

3，防火墻的常規(guī)配置是丟棄UDP分組（除DNS外）；

4，休眠狀態(tài)的UDP端口是不會發(fā)送一個ICMP端口不可到達(dá)消息。

還有的掃描工具就是弱點掃描工具，這些工具綜合各種漏洞信息構(gòu)造漏洞數(shù)據(jù)庫，去探究存在漏洞沒有打補(bǔ)丁的主機(jī),當(dāng)然也有針對特定漏洞的檢測發(fā)現(xiàn)工具（腳本小子能用，網(wǎng)絡(luò)安全人員也弄用雙刃劍-：）

這里詳細(xì)介紹對目標(biāo)操作系統(tǒng)類型的檢測原理：

Telnet標(biāo)識和TCP/IP堆棧指紋：

1，網(wǎng)上許多的系統(tǒng)可以直接Telnet到目標(biāo)，大多會返回歡迎信息的，返回的信息包含了該端口所對應(yīng)的服務(wù)軟件的版本號，這個對于尋找這個版本的軟件的漏洞很重要，如果對方開了Telnet，那么可以直接得到對方的系統(tǒng)類型和版本號，這個對于挖掘系統(tǒng)的漏洞很重要（對于溢出來說，不同版本的系統(tǒng)和語言版本的系統(tǒng)來說，RET地址，JMPESP，地址是不同的）。2，如今越來越多的管理員懂的了關(guān)閉功能標(biāo)志，甚至提供偽造的歡迎信息。那么TCP/IP堆棧指紋是區(qū)分不同系統(tǒng)的好方法。

1，F(xiàn)IN掃描

給打開的端口發(fā)送FIN包，RFC793規(guī)定不返回任何響應(yīng)，例外的系統(tǒng)是：MSWindows,BSDI,CISCO,HP/UX,MVS和IRIX都返回一個RESET包。2，TCP初始序列號（ISN）采樣

這種方法利用了在實現(xiàn)TCP連接時使用不同的ISN模式識別系統(tǒng)，可以分成多種模式：傳統(tǒng)的64K增加（舊UNIXOS），隨機(jī)增加（新版的Solaris,IRIX,FreeBSD,DigitalUNIX和Cray等），真正隨機(jī)（Linux2.0.*,OpenVMS和新版AIX等），Windows系統(tǒng)使用所謂的“時間依賴性”模型，即ISN的增加同某一個短固定的時間間隔有關(guān)系，有些主機(jī)始終使用固定的ISN，例如3COM集線器（使用0×803)和AppleLaserWriter打印機(jī)（0xC7001）。3，不分片位

目前許多系統(tǒng)在他們發(fā)送的包中使用IP“不分片”位，這主要是想獲得好的運行性能，不過也不是所有的操作系統(tǒng)都有此功能，即使有，其實現(xiàn)的方式可能也不同。因此利用次位或許有利于我們收集更多的有關(guān)目標(biāo)OS的信息。

4，TCP初始窗

TCP初始窗只是簡單地測試返回包的窗口尺寸。Queso和Nmap可以對實際的窗口進(jìn)行窗口跟蹤。在很多操作系統(tǒng)中是一個常數(shù)。例如：AIX是唯一使用0×3F25的操作系統(tǒng)。對于完全重新編寫代碼的NT5的TCP堆棧，使用0×402E.5,ACK值

如果發(fā)送一個FIN|PSH|URG，許多操作系統(tǒng)設(shè)置ACK等于初始序列號，而Windows和某些打印機(jī)將發(fā)送seq+1.如果發(fā)送一個SYN|FIN|PSH|URG到打開的端口，不同的Windows系統(tǒng)的實現(xiàn)將很不一致，有時返回seq,有時返回seq+1,甚至返回完全隨機(jī)的數(shù)值。6，ICMP錯誤消息機(jī)制

某些操作系統(tǒng)按照RFC1812的建議，限制不同錯誤消息的發(fā)送速率。例如：Linux內(nèi)核（在net/ipv4/icmp.h中定義）限制目標(biāo)不可到達(dá)消息的產(chǎn)生速率為4秒種內(nèi)80個，如果超過這個限制將有1/4的懲罰。測試方法是發(fā)送一大串包到某些隨機(jī)選取的高端口，然后計算返回的不可到達(dá)包的數(shù)目。

7，ICMP消息引用（MessageQuoting)

RFC規(guī)定：ICMP錯誤消息將引用一小部分導(dǎo)致錯誤消息包的ICMP消息內(nèi)容。對于端口不可達(dá)消息，幾乎所有的實現(xiàn)都只發(fā)送所需要的IP頭+8字節(jié)。不過Solaris發(fā)送的內(nèi)容更多，而Linux發(fā)送的東西最多。這就是我們識別沒有打開任何端口的Linux和Solaris主機(jī)。8，ICMP錯誤消息回射完整性

主機(jī)對端口不可打錯誤消息將送回一小部分于是消息的內(nèi)容。某些機(jī)器送回的包中包括的協(xié)議頭部分已經(jīng)被改變。例如，AIX和BSDI送回的IP總長度是20字節(jié)。而系統(tǒng)BSDI，F(xiàn)reeBSD,OpenBSD,ULTRIX和VAXen則將原樣送回你所發(fā)送的IP標(biāo)識符。某些系統(tǒng)（AIX和FreeBSD等）將送回不一致或等于0的校驗和。這同樣適用于UDP校驗和。Nmap對ICMP錯誤消息包進(jìn)行九種不同的測試以標(biāo)識系統(tǒng)之間的微笑差別。9，TCP選項

是實現(xiàn)TCP/IP協(xié)議時可選的一個部分功能，這跟不同的系統(tǒng)實現(xiàn)有關(guān)，這些選項都是挖掘可用信息的好方法。原因是：

1，他們都是可選項，不是所有主機(jī)都可以實現(xiàn)的；

2，如果你所發(fā)送的包中對某個選項進(jìn)行了設(shè)置，只要目標(biāo)支持，那么目標(biāo)主機(jī)就返回此選項；3，可以在包中設(shè)置所有的選項進(jìn)行測試。

例如：Nmap在每個探測包中設(shè)置所有的選項來進(jìn)行測試：

WindowsScale=10;NOP;MaxSegmentSize=265;Timestamp;EndofOps;

從返回的的包中查看這些選項，就知道了什么系統(tǒng)支持他們。

還有一種被動操作系統(tǒng)識別方法，就是監(jiān)控不同系統(tǒng)之間網(wǎng)絡(luò)包的情況來判斷目標(biāo)的操作系統(tǒng)類型，siphon被用來進(jìn)行這方面的測試，這個工作原理如下：簽名：

主要TCP的四個字段判斷：1，TTL：出站的包的存活時間；2，Windowsize：窗口大小；

3，DF：是否設(shè)置了不準(zhǔn)分片位；4，TOS：是否設(shè)置了服務(wù)類型。

綜合這些信息可以大概判斷出目標(biāo)的系統(tǒng)，但不能%100。四，查點

利用查點技術(shù)可以得到比前面講的更多更具體的有用信息，例如：帳戶信息等。1，Windows系統(tǒng)查點技術(shù)

利用NetBIOS規(guī)則，首先介紹NetBIOS,NetBOIS位于TCP/IP之上，定義了多個TCP和UDP端口。-TCP

（1），139：nbsession:NetBOIS會話。

例如：netuse\\\\IP\\ipc$””/user:”“.

（2），42：WINS：WindowsInternet名字系統(tǒng)（UDP端口也是42）。-UDP

（1）137：nbname:名字查詢。

例如：nbtstat-AIP//03中顯示的不是計算機(jī)名就是用戶名（2）138：nbdatagram:UDP數(shù)據(jù)報服務(wù)

例如：netsend/d:domain-name“Hello”

得到用戶名利用到了IPC$空會話和sid工具。sid工具由兩個小工具組成：user2sid和sid2user.user2sid獲得用戶名或組名的sid;sid2user則是輸入一個sid而獲得相應(yīng)用戶名的和組名，sid就是在創(chuàng)建用戶時而創(chuàng)建的，相當(dāng)于UNIX系統(tǒng)下的UID,WIN系統(tǒng)權(quán)限的檢查就是通過對SID的檢查的。一個sid是由一長串?dāng)?shù)字組成的，其中包括兩個部分，前一部分用來唯一標(biāo)識一個域，后一部分唯一標(biāo)識一個用戶名，這部分?jǐn)?shù)字被稱作rid，既相對標(biāo)識符，rid有一定的規(guī)律，其取值總是從500開始的，超級管理員的rid總是500，而GUEST用戶的rid總是501；而新建立的帳戶的rid從1000開始。具體的步驟：

c:\\netuse\\\\IP\\ipc$””/user:””

c:\\user2sid\\\\IPguest//得到了SID的前半部分s-1-5-21-1123561945-1580818891-1957994488-501

s是sid的前綴，后面跟的是1表示版本號，5用于標(biāo)識發(fā)放sid的授權(quán)實體，5指NT/201*。21-1123561945-1580818891-1957994488唯一地標(biāo)識域和工作組。不同的用戶只是最后的相對標(biāo)識符不一樣�，F(xiàn)在用sid2user查詢系統(tǒng)的用戶名了：

c:\\sid2user\\\\IP521112356194515808188911957994488500nameiscookiedomainiscondor

c:\\sid2user\\\\IP5211123561945158081889119579944881001

SNMP查點：通過默認(rèn)的管理群字符串PUBLIC讀取特性，可以得到系統(tǒng)的一些信息，具體有：接口表，路由表及ARP表，TCP表和UDP表，設(shè)備表和存儲表，進(jìn)程表和軟件表，用戶表，共享表。

SNMP工具，snmputil.exe

例如：

1，或者網(wǎng)絡(luò)接口數(shù)目：

c:\\snmputilgetlocalhostpublic.1.3.6.1.2.1.2.1.02,顯示所有的SNMP變量內(nèi)容

c:\\snmputilwalklocalhostpublic.1.3

2UNIX類系統(tǒng)的查點技術(shù)

1，$showmount-e//前提2049號端口開著（NFS）2，$finger@還有rusers3,$telnet25vrfyroot//證實是否有rootexpnadm

quit

五，具體的分析漏洞

針對特定目標(biāo)進(jìn)行了以上分析后，總結(jié)出最好的**思路，選擇**工具，做好**的準(zhǔn)備工作是必須，有時**時間的選擇也是很重要的，因為會涉及到正常的公司網(wǎng)絡(luò)的正常通信，甚至?xí)�使惡意的網(wǎng)絡(luò)在你**測試就發(fā)生了，最直接的漏洞利用方法，我認(rèn)為是溢出漏洞了，因為他直接就可以得到對方的系統(tǒng)權(quán)限，返回一個和在本地一樣的SHELL環(huán)境，此時無所不能：溢出攻擊的分類有：

1，WINDOWS下的和UNIN下的

一般原理，就用戶提交的參數(shù)范圍超過了在內(nèi)存中保存的本地變量的范圍，而程序或者系統(tǒng)并沒有對輸入的參數(shù)進(jìn)行合理的長度檢查，導(dǎo)致了被調(diào)用函數(shù)的返回地址被覆蓋，如果用一個跳轉(zhuǎn)到我們提交的shellcode的地方的地址代替，那么我們的shellcode就可以運行，成功得到了目標(biāo)的系統(tǒng)權(quán)限。

此外還有格式化串漏洞，導(dǎo)致這個漏洞的原因是在處理用戶數(shù)據(jù)的參數(shù)時沒有過濾用戶提交的，格式化符號，例如%n這個將允許輸出的參數(shù)的個數(shù)保存在內(nèi)存中，惡意構(gòu)造此漏洞用戶將會向內(nèi)存的任何位置寫SHELLCODE的地址。2,常見漏洞類型

UNIX下的本地漏洞很多，挖掘起來也較容易，他主要有以下幾種類型：1，環(huán)境欺騙

一般指PATH環(huán)境變量的欺騙，就是說如果一個特權(quán)的程序執(zhí)行了一個外部的命令，那么我們可以簡單的構(gòu)造這個外部命令程序，然后修改PATH使這個特權(quán)程序能夠去首先執(zhí)行我們構(gòu)造的外部命令程序，而這個外部的命令程序是一個去得SHELL的程序例如：bash$cat>ps#!/bin/sh>EOF

而這個特權(quán)程序是：

bash$cat>test.cintmain()>{

>setuid(0);

>system(“ps-ef”);/*程序調(diào)用了外部命令，但沒有給出這個命令的絕對路徑，這個是PATH欺騙的前提*/>}>EOF

編譯后的test文件具有s為，屬主是root.這樣設(shè)置是因為程序test執(zhí)行時會以root身份運行特權(quán)命令，這樣在他運行時由于調(diào)用的是我們偽造的ps命令程序，所以會產(chǎn)生一個root權(quán)限的SHELL環(huán)境。2，競爭條件

一般指時序競爭，例如：

fp=fopen(“test.log”,”w+”);

chown(“test.log”,getuid(),getgid());

原理也很簡單，就是如果當(dāng)前的程序運行時權(quán)限是euid=root,uid=當(dāng)前用戶，由于文件test.log在打開會執(zhí)行將文件的屬主改為當(dāng)前用戶，所以我們可以在執(zhí)行完fopen之后，chown之前刪了test.log，而創(chuàng)建了一個到/etc/passwd的符號鏈接，這樣就會將/etc/passwd文件的屬主改為當(dāng)前的用戶，當(dāng)前的用戶就可以在passwd文件中將自己的uid改為0，這樣就取得了system權(quán)限。3，溢出和格式串漏洞

導(dǎo)致這些漏洞的數(shù)據(jù)來源主要是：1，命令行參數(shù)2，環(huán)境變量

3，特定格式文件的讀取4，用戶交互十的輸入

緩沖溢出的漏洞是有以下一些函數(shù)引起的：1，strcpy2,strcat3,sprintf4,vsprintf

格式化串的漏洞和以下一些函數(shù)有關(guān)：1,print/vprintf2,fprintf/vfprintf3,sprintf/vsprintf

4,snprintf/vsnprintf

利用工具有objdump,elfedump查看目標(biāo)是否有不安全的以上不安全的函數(shù)，如果有可以進(jìn)行黑盒測試，進(jìn)而進(jìn)行返匯編分析程序的上下文和執(zhí)行流程，利用strings可以靜態(tài)查找目標(biāo)的環(huán)境變量。

六，攻擊WWW

現(xiàn)在的**事件，攻擊WWW居多，原因也很簡單，那就是程序員在編寫WEB腳本程序時更本不注重安全因素，導(dǎo)致了上傳shell,提升權(quán)限之類的嚴(yán)重后果，**滲透測試主要通過以下幾個方面進(jìn)行測試：

1，搜索SQL注入點；

2，搜索特定目錄和文件，例如：上傳程序文件，這個利用價值也很大；

3，尋找管理員登陸網(wǎng)頁，進(jìn)行字典或者SQL饒過**；

4，尋找WEB程序的源代碼，進(jìn)行漏洞挖掘，主要涉及的漏洞類型有：SQL注入，文件包含漏洞，目錄跳轉(zhuǎn)漏洞，以腳本文件格式保存錯誤日志漏洞，上傳漏洞；

5，在代碼審核時，不要忘記對程序員犯的邏輯錯誤進(jìn)行查看，例如：函數(shù)書寫錯誤6，總是，漏洞的成因歸根到底是由于對用戶的輸入沒有進(jìn)行嚴(yán)格的過濾。七，其他的**

1，針對數(shù)據(jù)庫MSSQL，MYSQL，ORACLE等數(shù)據(jù)庫的**；2，針對路由，防火墻，IDS等網(wǎng)絡(luò)設(shè)備的滲透3，無線**滲透

八，**滲透以后

1，在成功得到系統(tǒng)級別的權(quán)限以后，就要在目標(biāo)留下后門方便以后進(jìn)入，當(dāng)然清楚日志是最為重要的收尾工作，這些方面也有很多的技術(shù)可以討論，例如：后門的隱藏（WIN下的ADS是一個不錯的隱藏程序的東東，日志的有選擇刪除及其偽造等等，這里就不詳談了。。

友情提示：本文中關(guān)于《PCA 入侵檢測方法研究 階段總結(jié)》給出的范例僅供您參考拓展思維使用，PCA 入侵檢測方法研究 階段總結(jié)：該篇文章建議您自主創(chuàng)作。

來源：網(wǎng)絡(luò)整理 免責(zé)聲明：本文僅限學(xué)習(xí)分享，如產(chǎn)生版權(quán)問題，請聯(lián)系我們及時刪除。

《PCA 入侵檢測方法研究 階段總結(jié)》由互聯(lián)網(wǎng)用戶整理提供,轉(zhuǎn)載分享請保留原作者信息,謝謝!
鏈接地址：http://www.seogis.com/gongwen/747918.html

• 上一篇：對于C語言程序設(shè)計實踐教學(xué)的總結(jié)與反思
• 下一篇：車輛自動變速器總結(jié)